Сообщения о вирусах, не отображается содержимое диска С

[Julia1993 0]

Здравствуйте!

После того, как "поймала" вирус, перестало отображаться содержимое диска C, в настройках отображения папок все нормально.

Причем по адресу, например, C:\Program Files и дальше переходит без проблем, но в C:\ никак не возвращается.

Плюс постоянные сообщения антивирусника о блокировании вредоносного URL-а (скрин ниже)

Kaspersky Virus Removal Tool 2011 и Dr.Web CureIt! находили вирусы, удаляла, но думаю, что это не все.

Очень надеюсь на помощь))

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

Изменено 28 февраля, 2012 пользователем Julia1993

[Roman_Five 598]

Julia1993,

добро пожаловать на форум!

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\xensvcs.seq','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\F37B059\*.*',' ');
QuarantineFileF('C:\ ','*.* ',true ,' ',0 ,0 ,'04.02.2011','06.02.2011',' ',' ');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\xensvcs.seq');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}');
RebootWindows(true);
end.

Сообщение от модератора thyrex

Добавил нужную строку

Возьмите на заметку

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- McAfee Security Scan Plus;

- Norton Security Scan/

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

Сделайте новые логи по правилам.

 

+

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Julia1993 0]

Roman_Five,

 

Все сделала, теперь жду ответа по поводу Quarantine.zip.

После проверки Malwarebytes' Anti-Malware удалила найденые зараженые файлы, теперь диск C открывается нормально, пропали сообщения о вирусах)))

GetSystemInfo_MICROSOF_F1E2C4_Admin_2012_02_29_16_32_13.zip

info.txt

log.txt

mbam_log_2012_02_29__19_24_39_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка_на_отчёт_GSI.txt

[Roman_Five 598]

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

не выполнили!

 

не выходя из безопасного режима, удалите следующие папки:

C:\Documents and Settings\Admin\Application Data\14CA6R9HN4RXlSL
C:\14CA6R9HN4RXlSL
C:\Documents and Settings\Admin\Application Data\F37B059

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

сделайте новый лог MBAM.

[Tiare 183]

Julia1993,

 

+ к вышесказанному

 

удалите файл C:\plg.txt

 

Обязательно обновите Java до актуальной версии

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

Повторите лог RSIT

 

 

Смените все важные пароли!

[Julia1993 0]

Roman_Five

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

Уже делала, но повторила еще раз.

mbam_log_2012_03_01__16_15_10_.txt

[Tiare 183]

Julia1993,

 

Повторите лог RSIT

 

Malwarebytes' Anti-Malware - деинсталлируйте.

[Julia1993 0]

Tiare' date,

 

Сделала. Автозапуск отключать не стала.

info.txt

log.txt

[Roman_Five 598]

В безопасном режиме Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('43659226', 4);
StopService('43659226');
SetServiceStart('47893011', 4);
StopService('47893011');
SetServiceStart('88326303', 4);
StopService('88326303');
DeleteFile('C:\WINDOWS\system32\drivers\88326303.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\43659226.sys');
  DeleteFile('C:\WINDOWS\system32\drivers\47893011.sys');
DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp\','*.bat ',false ,' ');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\_uninst_08622039.lnk');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\_uninst_43659226.lnk');
  DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\_uninst_47893011.lnk');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\_uninst_63494247.lnk');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\_uninst_88326303.lnk');
DeleteService('43659226');
 DeleteService('47893011');
  DeleteService('88326303');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Сделайте новые логи RSIT.

[Julia1993 0]

ок

info.txt

log.txt

[Roman_Five 598]

выполните 6 стандартный скрипт в AVZ

AVZ - файл - стандартные скрипты - 6 - выполнить

 

на этом всё!

[Julia1993 0]

Спасибо большое за помощь!